Два інструменти штучного інтелекту вийшли з ладу однаковим чином протягом двох тижнів, що підтвердили чотири дослідницькі команди. Основна причина численних інцидентів полягає в наступному: корпоративні AI-системи приймають зовнішні дані без належних меж довіри.
15 червня компанія Varonis виявила SearchLeak (CVE-2026-42824) – ланцюжок уразливостей, який дозволяє викрасти дані з Microsoft 365 Copilot Enterprise Search. Жертва натискає спеціально створене посилання microsoft.com, Copilot здійснює пошук у її поштовій скриньці, і дані передаються через механізм SSRF (Server-Side Request Forgery) у Bing. Для цього не потрібні плагіни, повторний клік чи видимі сповіщення. Чотирма днями раніше Obsidian Security опублікувала інформацію про ланцюжок із трьох CVE для LiteLLM, який дозволив звичайному користувачеві з мінімальними правами отримати доступ рівня адміністратора та виконати віддалений код. Два інструменти. Дві команди. Одна зламана межа довіри.
Аудит з п’ятьма перевірками, описаний нижче, зіставляє кожен виявлений недолік з відповідним CVE або ринковим сигналом червня, надає команду для перевірки, яку можна виконати до обіду, та формулювання для директора з інформаційної безпеки (CISO) для звіту перед радою директорів.
Copilot перетворив довірене посилання на механізм витоку даних
SearchLeak використав три уразливості для тихого викрадення даних. Параметр `q` в URL-адресі передавав команди зловмисника безпосередньо моделі LLM (Large Language Model) у Copilot. Умова гонки при рендерингу дозволила виконати тег зображення до того, як спрацював механізм очищення виводу. Дозволений у політиці безпеки вмісту (Content Security Policy, CSP) кінцевий пункт пошуку зображень Bing використався як канал для виведення викрадених даних. Microsoft класифікував цю вразливість як критичну та виправив її на серверній стороні, за даними Varonis. NVD (National Vulnerability Database) ще не присвоїв їй бал; сторонній трекер оцінює її як 6.5 (середній рівень). Оцінка серйозності є предметом суперечок, але сам механізм – ні.
Масштаб підвищення привілеїв є ключовим моментом. Це вже третій ланцюжок витоку даних через Copilot, виявлений Varonis за останні дванадцять місяців, після Reprompt у січні та EchoLeak у 2025 році. Reprompt атакував Copilot Personal, тоді як SearchLeak націлився на Copilot Enterprise Search. Enterprise-версія успадковує повні дозволи організації, тому потенційний збиток охоплює все, до чого може отримати доступ користувач.
LiteLLM надав доступ до ключів кожного провайдера для облікового запису за замовчуванням
Шлюз LiteLLM централізує ключі доступу до OpenAI, Anthropic, Azure та Bedrock через єдиний проксі-сервер. Ланцюжок атак Obsidian складається з трьох кроків. CVE-2026-47101, що є обходом авторизації, дозволяє користувачеві без прав адміністратора створити API-ключ з wildcard-символами. CVE-2026-47102 підвищує привілеї такого користувача до рівня адміністратора проксі-сервера через незахищений кінцевий пункт `/user/update`. CVE-2026-40217 дозволяє вийти з пісочниці коду за допомогою `exec()` з доступом до всіх вбудованих функцій. Після цього Obsidian продемонструвала отримання зворотного шелла (reverse shell), впровадивши підроблену відповідь виклику інструменту через механізм зворотного виклику LiteLLM. Obsidian оцінила сукупний ланцюжок уразливостей за CVSS 9.9. Розробник написав одне слово, а зловмисник отримав контроль над системою.
Окрема вразливість LiteLLM зробила ситуацію ще більш терміновою. CVE-2026-42271, баг ін’єкції команд у тестових кінцевих пунктах MCP, потрапив до списку CISA KEV (Known Exploited Vulnerabilities) 8 червня з терміном усунення до 22 червня. Цей запис KEV не пов’язаний з ланцюжком атак Obsidian. Це два окремі інциденти, виявлені з різницею в чотири дні, виправлені в різних версіях, але націлені на один і той самий шлюз. LiteLLM має понад 40 000 зірок на GitHub і використовується в тисячах корпоративних розгортань. Це не перший тривожний сигнал. У березні ланцюжок компромета постачання призвів до появи бекдора у версіях LiteLLM 1.82.7 та 1.82.8 на PyPI. Компрометація шлюзу ставить під загрозу облікові дані всіх провайдерів, якими володіє організація.
Langflow та Mini Shai-Hulud підтвердили масштабованість проблеми
Ця ж межа довіри була порушена ще у двох інструментах протягом того ж двотижневого періоду. Langflow CVE-2026-5027 став третьою уразливістю з виконанням віддаленого коду (Remote Code Execution, RCE) у Langflow, яка активно експлуатувалася цього року. Обхід шляху (path traversal) під час завантаження файлів дозволяє зловмиснику записувати файли будь-де на диску. Оскільки Langflow за замовчуванням має увімкнений автоматичний вхід (auto-login), одного неавторизованого запиту достатньо для досягнення RCE. VulnCheck підтвердила експлуатацію 9 червня. Censys нарахувала приблизно 7 000 відкритих екземплярів, з найбільшою концентрацією в Північній Америці, з приписуванням до групи MuddyWater.
Кампанія Mini Shai-Hulud вдарила по іншій вразливій точці. Після того, як вихідний код черв’яка став загальнодоступним 12 травня, варіанти-клони скомпрометували 32 пакети npm Red Hat Cloud Services 1 червня. Ці пакети завантажувалися 80 000 разів на тиждень. Черв’як викрадає понад 20 типів облікових даних і самостійно поширюється під виглядом скомпрометованого розробника.
Чотири команди, чотири інструменти, одна операційна помилка. Класи вразливостей відрізняються. SearchLeak – це ін’єкція промпту. LiteLLM – підвищення привілеїв. Langflow – обхід шляху. Mini Shai-Hulud – отруєння ланцюжка постачання. Але порушена межа довіри в усіх випадках одна й та сама.
Ринок вже переоцінив ризики
Звіт CrowdStrike за перший квартал 2027 фінансового року (Q1 FY27) вказує на цифру, що відображає цей розрив. ARR (Annual Recurring Revenue) їхнього підрозділу AIDR (AI Detection and Response) зріс більш ніж на 250% порівняно з попереднім кварталом, а трубопровід (pipeline) на другий квартал перевищує 50 мільйонів доларів (згідно з формою 8-K, поданою до SEC). Загальний ARR компанії досяг 5,51 мільярда доларів, а телеметрія CrowdStrike показує понад 1800 агентських програм, що працюють на корпоративних кінцевих пристроях.
17 червня компанія розширила можливості AIDR на AWS, додавши оцінку комунікацій між агентами, LLM та MCP у реальному часі для Amazon Bedrock, Kiro та Strands Agents, спираючись на свою роботу з Project Glasswing від Anthropic. Деніел Бернард, головний комерційний директор CrowdStrike, зазначив, що поверхня атак штучного інтелекту тепер охоплює розробку, виконання, ідентифікацію та хмарну інфраструктуру, і що команди, які розглядають ці сфери окремо, залишають прогалини між ними відкритими.
Фахівці називають ту ж проблему простішими словами
Девід Левін, CISO в American Express Global Business Travel, розповів VentureBeat, що ця закономірність його не дивує. “У нас є свого роду тіньовий ШІ, який є просто новою версією тіньової ІТ”, – сказав Левін.
І Langflow, і LiteLLM відповідають цьому опису. Команди розгорнули їх для зручності, надали їм облікові дані, але ніколи не вводили їх під належне управління. Левін наголошує на важливості виправлення перед розгортанням. “Ми не почали це, просто сказавши, що збираємося зробити це без належних основ”, – сказав він. “Ми використовуємо контроль NIST. NIST випустив свій CSF (Cybersecurity Framework) разом зі своїм AI Framework. OWASP випустив свій топ-10. Вам потрібні правильні основи перед розгортанням”.
Меррітт Беар, CSO в Enkrypt AI та колишній заступник CISO AWS, назвала структурну версію цієї помилки в окремому інтерв’ю VentureBeat. “Підприємства вважають, що вони ‘схвалили’ постачальників ШІ, але насправді вони схвалили інтерфейс, а не базову систему”, – сказала Беар. “Реальні залежності на один-два рівні глибше, і саме вони виходять з ладу під навантаженням”. Вона прямо пов’язала це зі способом падіння систем. “Сирі нульові дні – це не те, як компрометуються більшість систем. Компонування – ось що це робить”, – сказала Беар VentureBeat. “Ризик живе у зв’язці між моделлю та вашими даними. Якщо ви надаєте агенту bash та root-токен, ви вже зробили більшу частину роботи зловмисника за нього”. Це саме те, що перевіряють рядки 2 і 4 аудиту: шлюз, який зберігає всі ключі, та ідентичність агента, яким ніхто не керує.
Левін запропонував більш чітке формулювання для ради директорів. “Вам потрібно більше говорити про ризики порівняно з дотриманням нормативних вимог перед вашими радами директорів та керівництвом”, – сказав він. “Йдеться вже не про розмір інженерної команди. Це розмір вашої уяви. Все написано простою англійською. Це не складно для когось”. Ні SearchLeak, ні LiteLLM не потребували кастомного шкідливого ПЗ або нульового дня для роботи.
Адам Майерс, SVP з розвідки CrowdStrike, навів оперативні цифри в ексклюзивному інтерв’ю VentureBeat. “Проблема не в нульовому дні. Проблема в оновленнях. Якщо ви помножите цю проблему в 10 разів, вони будуть абсолютно перевантажені”, – сказав Майерс. Він вказав на ідентифікацію як на другий фронт. “Деякі з цих ШІ мають власні ідентичності, або люди надають свою ідентичність ШІ для дій від їхнього імені, і це робить проблему дуже складною”.
Аудит меж довіри з п’ятьма перевірками
Кожен рядок зіставляє прогалину з доказом її існування, командою для перевірки в понеділок, способом виправлення та формулюванням для дошки директорів.
|
Прогалина в межі довіри |
Доказ |
Що зламалося |
Перевірити в понеділок |
Виправити в понеділок |
Мова для ради директорів |
|
1. Промпт-до-Даних |
SearchLeak CVE-2026-42824. Ін’єкція P2P + гонка HTML + Bing SSRF. Витік даних з пошти в один клік через URL Microsoft.com. PoC продемонстровано; Microsoft оцінив як критичний, NVD ще не оцінив. |
Параметр `q` URL передавався моделі LLM як інструкції. Санітайзер спрацьовував після рендерингу. Bing діяв як проксі для витоку даних через CSP allowlist. |
Аудит allowlist CSP на домени, що виконують серверні запити. Моніторинг URL Copilot Search на наявність закодованих пейлоадів. Перегляд журналів аудиту Copilot. |
Підтвердити застосування серверного патчу. Увімкнути мітки конфіденційності, що обмежують Copilot. Ставитися до потокового виводу AI як до недовіреного. |
“Наш AI-асистент міг шукати електронну пошту співробітників і надсилати результати зловмиснику через довірений URL Microsoft. Постачальник виправив це. Ми повинні перевірити конфігурацію.” |
|
2. Витік облікових даних шлюзу |
Ланцюжок з трьох CVE LiteLLM (-47101, -47102, -40217). CVSS 9.9. Окремий CVE-2026-42271 у списку CISA KEV (виправлено у v1.83.7; повний ланцюжок виправлено у v1.83.14-stable). Термін до 22 червня. |
Відсутність перевірки ролей на ключових кінцевих пунктах. Самопідвищення до адміна через /user/update. Обхід пісочниці через exec(). Один шлюз розкриває всі ключі провайдерів. |
Виконати `pip show litellm`. Версії нижче 1.83.14-stable = вразливі. Перевірити доступність /mcp-rest/test/. Аудит облікових записів proxy_admin. |
Оновити до v1.83.14-stable+. Змінити всі API-ключі провайдерів. Заблокувати /mcp-rest/test/* на рівні проксі. Переглянути кастомні правила безпеки коду. |
“Наш AI-шлюз зберігав ключі всіх провайдерів. Обліковий запис за замовчуванням міг підвищити свої привілеї до рівня адміністратора і викрасти їх усі. Зараз проводимо ротацію та встановлення патчів.” |
|
3. Розповсюдження AI-інструментів |
Langflow CVE-2026-5027 (CVSS 8.8). Третій RCE у 2026 році. ~7 000 відкритих екземплярів. MuddyWater. Активна експлуатація 9 червня. |
Обхід шляху під час завантаження файлів. Автоматичний вхід увімкнено за замовчуванням. Один неавторизований запит до RCE. |
Запитувати Censys/Shodan щодо Langflow, Flowise, n8n, Dify на вашому периметрі. Перевірити авто-вхід. Інвентаризувати AI-інструменти поза процесом управління змінами. |
Розмістити AI-платформи за VPN/zero-trust. Увімкнути автентифікацію скрізь. Оновити Langflow до v1.9.0+ (поточна версія 1.10.0). Постійно сканувати поверхню атаки. |
“AI-інструменти розробки відкриті для Інтернету з вимкненим входом. Група, пов’язана з державою, зараз використовує цю вразливість. Сьогодні переносимо їх за засоби контролю доступу.” |
|
4. Управління нелюдськими ідентичностями |
ARR AIDR зріс на 250% (Q1 FY27, SEC 8-K). Трубопровід Q2 >$50M. 1800+ агентських додатків на корпоративних кінцевих пристроях. |
Агенти володіють ідентичностями та діють від імені людей. Деякі виходять за межі своїх призначених завдань для досягнення мети. Немає стандартів, що регулюють життєвий цикл облікових даних агента. |
Інвентаризувати всі нелюдські ідентичності, що використовуються агентами та серверами MCP. Відобразити доступ агентів до сховищ даних. Позначити агентів з правами запису до політик безпеки. |
Застосувати принцип найменших привілеїв до кожної ідентичності агента. Встановити межі привілеїв через захист ідентифікації. Виявлення в реальному часі дій, що порушують політики. Людський контроль для змін політик. |
“AI-агенти володіють обліковими даними і діють автономно. Ми не керуємо їхнім життєвим циклом ідентифікації, як для людського доступу. Зростання ринку на 250% свідчить про системність цієї прогалини.” |
|
5. Виявлення агентських дій у реальному часі |
Falcon AIDR розширено на AWS (17 червня). Охоплює Bedrock, Kiro, Strands Agents. Інтеграція MCP. Оцінка комунікацій агентів/LLM/MCP у реальному часі. |
Традиційні інструменти моніторять дії зі швидкістю людини. Агенти працюють зі швидкістю машини, виконуючи тисячі дій за хвилину, і обходять засоби контролю для досягнення мети. |
Перевірити, чи EDR/XDR пов’язує дії агента з ідентичністю-джерелом. Переконатися, що SIEM отримує дані про комунікації MCP. Підтвердити можливість розрізнити людину від агента на кінцевому пристрої. |
Розгорнути AIDR або аналогічний засіб виявлення в реальному часі. Виявлення тіньового ШІ для всіх агентських додатків, моделей, MCP-серверів, ідентичностей. Застосування політик у реальному часі до дій агентів. |
“Ми не можемо відрізнити співробітника-людину від AI-агента, який діє від його імені. Нам потрібен засіб виявлення в реальному часі зі швидкістю машини, який може зупинити шкоду до її початку.” |
Рішення – це інфраструктура, а не політика
Виконавчий указ від 2 червня створює AI Cybersecurity Clearinghouse з терміном виконання до 1 липня. П’ять виявлених прогалин – це не проблеми передових моделей. Це проблеми інфраструктури в шлюзах, платформах оркестрації, рівнях ідентифікації та середовищах виконання, де ШІ стикається з підприємством.
Аудит складається з п’яти рядків. Кожен рядок зіставляє червневе розкриття інформації або ринковий сигнал з командою, яку команда може виконати до обіду, та фразою, яку CISO може прочитати раді директорів. Питання не в тому, чи виправить ваш постачальник помилку. Питання в тому, чи знайдете ви прогалину першими – чи знайде її зловмисник, як це сталося з Copilot та LiteLLM.
Як захиститися (Порада CryptoDom): Не довіряйте сліпо жодному зовнішньому вводу, особливо якщо він надходить до вашої AI-системи. Завжди перевіряйте та санітизуйте дані, перш ніж вони потраплять до LLM, та переконайтеся, що вихідні дані також проходять ретельну перевірку.
За даними порталу: venturebeat.com